Globedia.com

×

Error de autenticación

Ha habido un problema a la hora de conectarse a la red social. Por favor intentalo de nuevo

Si el problema persiste, nos lo puedes decir AQUÍ

×
×
Recibir alertas

¿Quieres recibir una notificación por email cada vez que Cesarromero escriba una noticia?

Gusanos infectados por Virus- La era del Malware Mutante

06/01/2013 18:03 0 Comentarios Lectura: ( palabras)

Hace diez años, había una clara distinción entre los troyanos, virus y gusanos. Todos ellos tenían sus propias características específicas de una sola familia de malware. A medida que más personas se conectan a internet, los ciber-criminales empezaron a mezclar los componentes para maximizar el impacto. Estoy hablando de Troyanos con características de gusanos, o virus con capacidades de Troyanos, y así sucesivamente.

Ahora, otra "práctica" se ha emergido en silencio: el archivo infecioso que accidentalmente da lugar a otra amenaza electrónica .Un virus infecta los archivos ejecutables, y un gusano es un archivo ejecutable. Si el virus llega a un PC que ya está infectado por un gusano, el virus infectará a los archivos .exe en esa PC - incluyendo el gusano. Cuando el gusano se propaga, llevará el virus con él. A pesar de esto ocurre sin intención, las características combinadas de los dos tipos de malware causarán mucho más daño que el buscado por sus creadores malware.

Mientras que la mayoría de los archivos infecciosos llevan incorporados mecanismos de propagación, como los troyanos y gusanos (procesos de difusión en RDP, USB, P2P, aplicaciones de chat o redes sociales), algunos no pueden reproducirse o difundirse entre computadores. Resulta una gran idea "externalizar" el mecanismo de transporte a otro componente de malware (es decir, por medio de un gusano).

Lo más probable es estos Franken-malware, o "bocadillos de malware", se generen de manera espontánea. El virus de hecho infecta por error otro malware, y termina usando sus características para propagarse. El laboratorio Anti-malware de BitDefender identificó no menos de 40.000 programas maliciosos, tales como simbiosis, de un conjunto de muestras de 10 millones de archivos. Uno de estos casos es el contagiador de archivos Virtob, cuyo código malicioso ha sido detectado infectando gusanos como OnLineGames, el antiguo Mydoom, o el avanzado troyano de puerta trasera Bifrose.

De las numerosas muestras de gusanos infectados por el virus, elegimos el par Win32.Worm.Rimecud y elWin32.Virtob.

Unas pocas palabras sobre Win32.Worm.RimecudWin32.Worm.Rimecud es el típico gusano con la última técnica de propagación. Para su difusión utiliza aplicaciones para compartir archivos (P2P Ares, BearShare, iMesh, Shareaza, Kazaa, DC + +, eMule, LimeWire), dispositivos USB, Microsoft MSN Messenger (envía a todos los contactos enlaces a sitios que almacenan malware) y unidades de red asignadas a nivel local. Una vez en el sistema, Rimecud inyecta su código en explorer.exe y roba las contraseñas relacionadas con la banca electrónica, compras en línea, redes sociales o correo electrónico; en Mozilla Firefox e Internet Explorer. Mientras tanto, su componente de puerta trasera le permite conectarse a los servidores C & C, y buscar comandos tales como flood, descargar y ejecutar más programas maliciosos en el ordenador en el equipo comprometido. Además de eso, el gusano busca un servidor VNC (software de control remoto) el cual le permite el acceso al atacante y el control remoto de la PC infectada.

Y ciertos detalles sobre Win32.VirtobLos laboratorios de BitDefender han visto recientemente un adjunto que infecta archivos con el gusano mencionado -Win32.Virtob. Este virus es conocido por infectar ficheros ejecutables con extensión .exe o .scr mediante la colocación de una pieza de código malicioso a los archivos. El gusano es un archivo ejecutable, así que lo más probable es que también infecte el virus si está en el mismo equipo. Luego Virtob obliga a los archivos ejecutables comprometidos ejecutar en primer lugar el código del virus (al cambiar el punto de entrada) y sólo después de esto darle el control al archivo original. Ciertamente esto también se aplica a los gusanos -su código se ejecuta sólo después de que el código del virus se ha puesto en marcha. Cuando el código se ha cargado exitosamente en la memoria, Virtob se conecta a dos servidores IRC que en realidad son servidores C & C, y con la ayuda de su componente de puerta trasera, el virus está listo para recibir comandos de un atacante remoto a través de Internet.

Mediante la inyección de código en el winlogon.exe y luego de agregar este proceso a la lista de excepciones del firewall, el virus se asegura de que tiene acceso total a Internet y garantiza su persistencia -Winlogon es un proceso crítico que, si se termina, se bloquea el ordenador. Posteriormente, infecta archivos HTML, HTM, PHP, ASP mediante la inyección de IFrames que de forma silenciosa pueden cargar el contenido de las páginas con malware.

Ahora, imagina estas dos piezas de malware trabajando juntas -voluntariamente o no- desde y en el mismo sistema infectado. Ese PC se enfrenta a un doble malware con el doble de comados, control de servidores para consultar instrucciones; además, hay dos puertas traseras abiertas, dos técnicas de ataque activas y varios métodos de propagación puestos en su lugar. Cuando uno falla, el otro tiene éxito.

Múltiples infecciones de Frankenware posibles:Si, por total mala suerte, el equipo tiene más de un gusano que se ajusta a las especificaciones del virus, este podría infectar a más de un gusano en el sistema. Sin embargo, el virus también puede sólo infectar los archivos ejecutables del sistema en lugares determinados, o de una cierta longitud. Otros virus buscan determinadas cadenas que pertenecen a otras piezas de malware, las cuales no están infectadas si se encuentra en el sistema afectado. Por lo tanto, un gusano puede ser infectado, mientras que otros en el mismo sistema no.

Si uno de los dos (sin importar si es el virus o el gusano) es detectado por el Anti-virus, el otro podría pasar desapercibido. Si quizás pensamos en un archivo infectado (posiblemente el virus) que debe ser analizado por separado, y un fragmento de código se elige y analiza, también es posible que se descubra el gusano. Si el gusano se detecta basado en una firma, este simplemente desaparece del sistema comprometido, sin ningún tipo de análisis. Así es hace más fácil para que el virus pasar desapercibido. No hay ninguna regla.

Y dos escenarios hipotéticos:

Escenario hipotético #1:Imagine un gusano como Downadup, que se ha ido esparciendo constantemente en todo el mundo desde hace tres años (70.000 equipos infectados solo en los últimos seis meses), siendo infectado por un virus. Por un lado, Downadup impide al sistema operativo y al anti-virus actualizarse, y por otro lado el virus puede tener un rootkit con capacidad de abrir una puerta trasera. Downadup se difunde por todo el mundo constantemente, lo que hace que sea una herramienta de gran propagación; sin mencionar que a los anti-virus les tomó más de seis meses, y casi un millón de infecciones, descubrirlo. Si hubiese llevado en sí un virus, todos esos usuarios hubieran sufrido un daño mayor. Y la reparación sería más complicada.

Escenario hipotético #2:Imagina que un gusano es infectado por un alterador de archivos (virus). Y un anti-virus detecta el archivo modificador y primero y trata de desinfectar los archivos, lo cual incluye el gusano. En algún casos raro, la desinfección de los archivos comprometidos deja algunos limpios que al mismo tiempo están alterados (ya no idénticos al original). Ellos mantienen su funcionalidad, pero son ligeramente diferentes en una forma. Como la mayoría de los archivos se detectan según las firmas y no con base a su comportamiento (heurísticamente), un gusano alterado (desinfectados, junto con otros archivos que han sido infectados por un archivo infector y desinfectados por un antivirus) ya no puede ser detectado por la firma aplicada en el archivo original (que ha sido modificado después de la desinfección). La desinfección puede de esta manera llevar a mutación que de hecho puede realmente ayudar a los gusanos.

Fuente: Bitdefender


Sobre esta noticia

Autor:
Cesarromero (794 noticias)
Fuente:
ejercitoantivirus.blogspot.com
Visitas:
141
Tipo:
Reportaje
Licencia:
Distribución gratuita
¿Problemas con esta noticia?
×
Denunciar esta noticia por

Denunciar

Comentarios

Aún no hay comentarios en esta noticia.